Широкое распространение беспроводных устройств и их небольшая
стоимость приводят к тому, что в периметре сетевой безопасности
возникают бреши. Здесь речь идет не только о злоумышленниках,
подключивших КПК с поддержкой Wi-Fi
к проводной сети компании, но и о более тривиальных вещах. Активный
беспроводной адаптер на подключенном к корпоративной сети ноутбуке,
принесенная из дома для тестирования точка доступа - все это может
стать удобными каналами для проникновения во внутреннюю сеть.
Недостаточная аутентификация, ошибки в системе разграничения
доступа позволяют осуществлять несанкционированное подключение.
Различные методы атак на Bluetooth и Wi-Fi, направленные на реализацию
этих угроз, будут рассмотрены в этой и последующих главах книги.
Специфика беспроводных сетей подразумевает, что данные могут быть
перехвачены и изменены в любой момент. Для одних технологий достаточно
стандартного беспроводного адаптера, для других требуется
специализированное оборудование. Но в любом случае, эти угроза
реализуются достаточно просто, и для противостояния им требуются
эффективные криптографические механизмы защиты данных.
По своей природе беспроводные сети не могут обеспечивать высокую
доступность. Различные природные, техногенные и антропогенные факторы
могут эффективно нарушать нормальное функционирование радиоканала. Этот
факт должен учитываться при проектировании сети, и беспроводные сети не
должны использоваться для организации каналов при высоких требованиях
по доступности.
Станции Wi-Fi могут быть легко обнаружены пассивными методами, что
позволяет с достаточно большой точностью определять местоположение
беспроводного устройства. Например, система Navizon
может использовать для определения местоположения мобильного устройства
систему GPS, базовые станции GSM и точки беспроводного доступа. Что
касается Bluetooth, то использованию этой технологии для определения
местоположения владельца мобильного телефона (к примеру) посвящен ряд
серьезных работ. Те, кому интересны эти проблемы, могут начать
ознакомление с ними с публикаций Джозефа Хэллберга (Josef Hallberg) и
Маркус Нильсона (Marcus Nilsson) «Positioning with Bluetooth» и Силке Фельдман с коллегами «An indoor Bluetooth-based positioning system: concept, Implementation and experimental evaluation».
Политика безопасности в отношении беспроводных сетей может быть
представлена как в виде отдельного документа, так и в составе других
составляющих нормативного обеспечения безопасности. В большинстве
случаев наличие отдельного документа не требуется, поскольку положения
политики в отношении беспроводных сетей во многом пересекаются с
традиционным содержанием подобных документов. Так, например, требования
по физической защите точек доступа вполне перекрываются вопросами
физической безопасности активного сетевого оборудования. В связи с этим
в виде отдельного документа политика беспроводной безопасности
представлена в период внедрения WLAN, после чего, при очередном
пересмотре документов гармонично вливается в другие.
Если беспроводные сети не используются, то политика безопасности
должна включать в себя описание защитных механизмов, направленных на
снижение рисков, связанных с несанкционированным использованием
радиосетей. В основном здесь перечисляются те технологии, самовольное
использование которых недопустимо, и описываются механизмы защиты,
направленные на выполнение требований. Например, для снижения
вероятности нарушения политики могут быть использованы механизмы
защиты, приведенные в табл. 2.1. Здесь и далее положения политики
безопасности (также называемой концепцией, основной политикой)
приведены совместно с возможным содержанием требований безопасности
(функциональная политика).
Основные положения политики безопасности беспроводных сетей
Положения политики |
Требования к безопасности |
Обучение пользователей и администраторов
ISO|IEC 27001 A.8.2.2 |
Пользователи
должны знать и понимать изложенные в политике ограничения, а
администраторы должны иметь необходимую квалификацию для предотвращения
и обнаружения нарушений политики |
Контроль подключений к сети
ISO|IEC 27001 A.11.4.3 |
Уровень
риска, связанного с подключением несанкционированной точки доступа или
клиента беспроводной сети, можно снизить путем отключения
неиспользуемых портов коммутаторов, фильтрации по MAC-адресам
(port-security), аутентификации 802.1X, систем обнаружения атак и
сканеров безопасности, контролирующих появление новых сетевых объектов |
Физическая безопасность
ISO|IEC 27001 A.9.1 |
Контроль
приносимых на территорию устройств позволяет ограничить вероятность
подключения к сети беспроводных устройств. Ограничение доступа
пользователей и посетителей к сетевым портам и слотам расширения
компьютера снижает вероятность подключения беспроводного устройства |
Минимизация привилегий пользователя
ISO|IEC 27001 A.11.2.2 |
Если
пользователь работает на компьютере с минимально необходимыми правами,
то снижается вероятность самовольного изменения настроек беспроводных
интерфейсов |
Контроль политики безопасности
ISO|IEC 27001 6, A.6.1.8 |
Средства
анализа защищенности, такие как сканеры уязвимостей, позволяют
обнаруживать появление в сети новых устройств и определить их тип
(функции определения версий ОС и сетевых приложений), а также
отслеживать отклонения настроек клиентов от заданного профиля.
Техническое задание на проведение работ по аудиту внешними
консультантами должно учитывать требования политики в отношении
беспроводных сетей |
Инвентаризация ресурсов
ISO|IEC 27001 A.7.1.1 |
Наличие актуального обновляемого списка сетевых ресурсов облегчает обнаружение новых сетевых объектов |
Обнаружение атак
ISO|IEC 27001 A.10.10.2 |
Применение
систем обнаружения атак как традиционных, так и беспроводных дает
возможность своевременно определять попытки несанкционированного доступа |
Расследование инцидентов
ISO|IEC 27001 A.13.2 |
Инциденты,
связанные с беспроводными сетями мало отличаются от других подобных
ситуаций, однако процедуры их расследования должны быть определены |
Для сетей, где беспроводные сети внедряются или используются, может
потребоваться внесение дополнений в разделы политики, приведенные в
таблице 2.2.
Таблица 2.2. Положения политики безопасности беспроводных сетей
Положения политики |
Требования к безопасности |
Нормативно-правовое обеспечение
ISO|IEC 27001 A.15.1.1 |
Использование
беспроводных сетей может попадать под действие как российских, так и
международных нормативных актов. Так, в России использование частотного
диапазона 2,4 ГГц регулируется решением ГКРЧ от 6.11.2004
(04-03-04-003). Кроме того, поскольку в беспроводных сетях интенсивно
используется шифрование, а применение криптографических средств защиты
в ряде случаев попадает под довольно жесткие законодательные
ограничения, необходимо проработать и этот вопрос |
Внутренний и внешний аудит
ISO|IEC 27001 6, A.6.1.8 |
При
проведении работ по оценке защищенности должны учитываться требования
политики в отношении беспроводных сетей. Более подробно возможный
состав работ по оценке защищенности WLAN описан в последней глава
данной книги |
Разделение сетей
ISO|IEC 27001 A.11.4.5 |
В
связи со спецификой беспроводных сетей желательно выделять точки
беспроводного доступа в отдельный сетевой сегмент с помощью межсетевого
экрана, особенно когда речь касается гостевого доступа |
Использование криптографических средств защиты
ISO|IEC 27001 A.12.3 |
Должны
быть определены используемые протоколы и алгоритмы шифрования трафика в
беспроводной сети (WPA или 802.11i). При использовании технологии
802.1X определяются требования к протоколам ЭЦП и длине ключа подписи
сертификатов, используемых для различных целей |
Аутентификация
ISO|IEC 27001 A.11.4.2 |
Должны
быть определены требования к хранению данных аутентификации, их смене,
сложности, безопасности при передаче по сети. Могут быть явно
определены используемые методы EAP, методы защиты общего ключа сервера
RADIUS |
Контроль изменений в информационной системе
ISO|IEC 27001 A.12.5.1 |
Должны учитываться используемые в ИС беспроводные технологии. |
Допустимость использования программного и аппаратного обеспечения.
ISO|IEC 27001 A.12.4.1 |
В этом разделе рассматриваются требования к точкам доступа, беспроводным коммутаторам и клиентам беспроводной сети. |
Обнаружение атак
ISO|IEC 27001 A.10.10.2 |
Должны быть определены требования к системам обнаружения беспроводных атак, закреплена ответственность за анализ событий |
Протоколирование и анализ событий безопасности
ISO|IEC 27001 A.10.10.1 |
Данный
раздел может быть расширен путем добавления в список контролируемых
событий, специфичных для беспроводных сетей. Может включать в себя
предыдущий раздел |
Удаленный доступ к сети
ISO|IEC 27001 A.11.7.2 |
В
большинстве случаев пользователей беспроводной сети логично относить к
пользователям систем удаленного доступа. Это обусловлено аналогичными
угрозами и как следствие - контрмерами, характерными для данных
компонентов ИС |
Кроме того, в том или ином виде должны быть сформированы следующие документы:
- инструкция для пользователей с учетом использования беспроводной сети;
- базовые настройки точек доступа, беспроводных коммутаторов, рабочих станций;
- процедуры контроля защищенности беспроводных сетей;
- профили систем обнаружения атак;
- процедуры по реагированию на инциденты в беспроводной сети.
Правильно построенная и соблюдаемая политика безопасности является
надежным фундаментом защищенной беспроводной сети. Вследствие этого
стоит уделять ей достаточное внимание, как на этапе внедрения сети, так
и в ходе ее эксплуатации, отражая в нормативных документах изменения,
происходящие в сети.
|